PKI在网络办公安全中应用.docVIP

PKI在网络办公安全中应用 　　摘要:随着互联网的迅猛发展，在各种上网工程的推动下，许多公司、企事业单位和政府机关纷纷筹建各自的办公网络系统。各单位通过自建的办公网络系统，利用互连网的开放性，加快了与外界的沟通、增强了内部管理，也提高了工作效率，但同时互联网上存在的各种安全隐患使的办公网络安全受到严重的威胁，为此本文特提出基于PKI的网络办公系统，使得办公网络安全得以保障。 　　关键词:PKI；办公系统；网络安全 数据加密 　　 　　一、引言 　　 　　（一）现状分析 　　对于办公网络的安全问题，目前很多单位的解决方式是采用防火墙等设备为网络构筑一个安全屏障，采用用户名+口令方式实现身份验证，通过各种设备自身的权限控制功能实现权限控制，内部网络之间的信息传输都是明文。对于网上办公应用的延伸，如异地分支机构网上办公、移动办公以及客户合作伙伴的交互问题等，很多单位是采用在内部办公网上安装拨号服务器的方法来解决的。通过申请的电话线路，异地分支机构、外出员工或合作伙伴使用计算机、Modem和拨号服务器相连接，实现对内部办公网的访问，对于身份认证和权限控制与内网方式相同，内外网间的信息通信也多是明文。上述方式虽然能在很大程度上解决异地、移动办公和交互问题及常见的安全问题，但是仍然存在很多的安全隐患： 　　1、用户名＋口令的传统认证方式安全性较弱，用户口令易被窃取而导致损失 　　用户为了便于记忆，设置的口令往往过于简单，易被猜测、易泄露 　　2、设备自身的权限控制功能不精确 　　防火墙的权限控制无法精确到个人用户，仅仅针对机器，服务器权限控制仅仅针对自身应用系统，无法扩展。 　　3、拨号服务器为内网增加了不安全通道和额外负担 　　在内部网络防火墙后面架设拨号服务器相当于在防火墙上开了一条通道，而这条通道的防护很少，将成为系统安全最薄弱的环节。 　　拨号访问的方式将增加日常办公开支，包括使用国内甚至国际长途电话的费用、电话线和中继线路的租用费用和拨号服务器的费用。可扩展性、灵活性较差，管理和使用都不方便 　　4、各种信息在内网和外网上的明文传输使得信息很容易被窃听、篡改和伪造 　　（二）办公网络的安全需求： 　　网上办公系统的安全需求可以划分为以下几个方面： 　　1、现可以防假冒和抵赖的身份认证功能。 　　2、据用户身份实现精确的用户权限控制功能。 　　3、网络信息加密传输保证信息安全性。 　　4、通过身份认证、权限控制和加密传输安全实现异地、移动办公以及交互问题的解决。 　　针对办公网络系统的身份认证、权限控制、加密传输和异地办公的安全问题，本文特提出基于PKI体系的解决办公网络安全问题。 　　 　　二、PKI简介 　　 　　所谓 PKI（Public Key Infrastructure 的缩写）即“公开密钥体系”，是一种新的安全技术，它由公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥的安全策略等基本成分共同组成的。PKI是利用公钥技术实现电子商务、电子政务等安全的一种体系，是一种基础设施，网络通讯、网上交易、网上办公是利用它来保证安全的。而PKI最主要的安全技术包括两个方面： 　　(一)公钥加密技术 　　 　　由于数据在传输过程中有可能遭到侵犯者的窃听而失去保密信息，加密技术是主要的也是最常用保密安全措施。CA的一个重要应用就是给文件加密解密，用某种算法将普通的文件和密钥相结合，生成不可理解得密文，保证数据在传输过程中的安全性，即使数据在传送过程中泄漏，得到也只是加密后无法识别的密文。数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公开密钥（公钥），为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。如果用户需要发送加密数据，发送方需要使用接收方的数字证书（公开密钥）对数据进行加密，而接收方则使用自己的私有密钥进行解密，从而保证数据的安全保密性。当一位员工A想与另一位员工B进行通信时，他的第一步就是获得它需要与之通信人的电子证书，然后要检查CRL列表，确实该证书是否有效，如果证书仍然有效，在检查颁发证书的签名，确认证书。如图1所示： 　　（二）数字签名技术 　　数字签名技术则提供了在网络通信之前相互认证的有效方法、在通信过程中保证信息完整性的可靠手段、以及在通信结束之后防止双方相互抵赖的有效机制。数字签名用于网络办公系统中，可以用来签发文件。当文件需要签名时，可以直接在计算机上